Opinie 24 september 2018

Nogmaals de controleperikelen inzake ING

Onlangs kopte een nieuwsbericht op deze site: 'NBA: externe accountant kijkt vooral naar bestaan van procedures voor risicobeheersing'. In het bijbehorende artikel wordt gereageerd op een betoog van ondergetekende over de controle door EY van ING.

In die bijdrage op deze site probeert het Adviescollege voor Beroepsreglementering (ACB) van de NBA uit te leggen wat je van accountants mag verwachten ten aanzien van de naleving door banken van de anti-witwaswetgeving. Een uitleg waarbij in de inleidende zin ook aan de ING-casus wordt gerefereerd.

Welnu, de beroepsorganisatie noch ACB geven er in de reacties blijk van daadwerkelijk te reageren op de door ondergetekende aangereikte vraagstukken; laat staan dat wordt bereikt dat wat zij te berde brengen duidelijk met de feiten in de ING-casus te maken heeft. Dat maakt de framing van beide stukken merkwaardig en maakt dat de beroepsorganisatie er niet in slaagt helderheid te scheppen. Ik illustreer dat aan de hand van enkele voorbeelden.

1. De NBA stelt in het nieuwsbericht het volgende: 'De externe accountant kijkt bij de controle van banken vooral naar de inrichting van de organisatie en het bestaan van procedures om risico's te beheersen. Of die procedures altijd hebben gewerkt hoeft de accountant niet te beoordelen.'

Dat klinkt als: de fietsenmaker moet (1) de instructies beschikbaar hebben om een band te plakken; (2) de band daadwerkelijk plakken; (3) maar als de fiets met geplakte band aan de klant wordt meegegeven hoeft hij niet te controleren of de geplakte band het ook houdt. Gaat u naar zo’n fietsenmaker?

2. De ACB schiet in de reflex van 'we leggen het nog wel een keertje uit', in een (theoretisch en onduidelijk) betoog over de toepassing van NV COS 240/250. Exact wat ik in mijn bijdrage had voorzien. Kort wordt gerefereerd aan de ook door mij genoemde NV COS 315.

De ACB gaat echter niet in op de in het betoog van ondergetekende gegeven motivering over deze controlestandaarden en weerlegt derhalve de stellingname niet. Het gaat dan met name om de eerste zes bulletpoints aan het begin van mijn betoog. Het is een vrije keuze om dat betoog te negeren, maar suggereer dan niet dat je er op reageert.

Ergerlijker is echter dat de casusspecifieke elementen, met name die welke uit het door het Openbaar Ministerie publiek gemaakte feitenrelaas blijken, niet in de beoordeling worden betrokken. Temeer omdat deze feiten niet door ING worden weersproken, maar worden erkend. Daardoor gaat het niet om een subjectieve mening, maar om onderbouwde en geobjectiveerde feiten.

Laat ik een paar voorbeelden en feiten uit de casus noemen: (1) het voor de interne beheersing cruciale ‘three lines of defence model’ werkte niet; (2) de 'tone at the top' was niet juist ten aanzien van de naleving van wet- en regelgeving; (3) de cultuur van de organisatie was gericht op winstgevendheid en commerciële doelstellingen.

De vraag is hier niet wat in NV COS 240, 250, 315 of in een praktijkhandreiking staat. De vraag is of het maatschappelijk verkeer van een accountant mag verwachten dat die deze drie aspecten nadrukkelijk in de controle betrekt. Anders gezegd: welke toegevoegde waarde heeft de accountantscontrole, als een
accountant ernstige omissies ten aanzien van deze drie aspecten niet opmerkt? 

En bovendien: hoeveel artikelen over interne beheersing, toon aan de top en cultuur vanuit de grote accountantsorganisaties moet ik aanreiken om het belang van deze drie aspecten voor de lezer te duiden?

3. Dan de volgende passage in het epistel van de ACB: "In dit kader is het misschien goed om iets te zeggen over de vraag of Standaard 240 ook van toepassing is bij het beoordelen van de overige regelgeving (hier de Wwft). Dat is situatie-afhankelijk. Fraude in het kader van de standaarden is het middels een bewuste handeling oneigenlijk verkrijgen van activa of het verstrekken van misleidende verantwoordingsinformatie. Niet elke wetsovertreding hoeft dus per definitie fraude te zijn. Gezien de opmerking van het OM dat zij de verantwoordelijkheid van het falende beleid bij de organisatie en niet bij individuen legt en dat het met name het gevolg van gebrek aan verantwoordelijkheidsgevoel was dat hiertoe heeft kunnen leiden, vragen wij ons af of in de casus rondom ING wel sprake is van fraude. Maar zonder meer inhoudelijke kennis van de casus is dit niet te beoordelen. Dat neemt natuurlijk niet weg dat accountants altijd alert moeten zijn op frauderisico's."

Die laatste zin is een 'dooddoener voor de bühne'. De zin daarvoor roept de vraag op of het ACB wel voldoende naar de bekende feiten over de casus heeft gekeken. Net als de zin daarvoor waarin zij zich afvragen "of in de casus rondom ING wel sprake is van fraude". Immers, uit het feitenrelaas van het Openbaar Ministerie en de transactieovereenkomst blijkt dat het onder meer gaat om het door ING zelf plegen van schuldwitwassen. Het feitenrelaas hanteert de kwalificatie 'organisatiecriminaliteit'. Schuldwitwassen is een strafbaar feit dat door de buitenwereld niet wordt onderscheiden van fraude, maar als een verschijningsvorm daarvan wordt gezien (net als corruptie).

Of wil de ACB nu naar de buitenwereld wel gaan verdedigen dat het bij witwassen om iets geheel anders gaat dan fraude? En dat we er om die reden bij de beoordeling van frauderisico's niet naar hoeven te kijken? Dat is vast een geloofwaardig verhaal voor een beroepsgroep die een meldplicht heeft inzake fraude en witwassen…

Bovendien: moeten wij als accountants - met een maatschappelijke taak - een theoretische discussie gaan voeren over definities van fraude en witwassen, of over de vraag of NV COS 240 of 250 van toepassing is? Dienen accountants daarmee een maatschappelijk belang, of doen ze dat louter ter inperking van de eigen risico's en hun aansprakelijkheid? Definities en controlestandaarden die je overigens met goede wil ook nu al gericht op die maatschappelijke taak kunt uitleggen. Niet minimalistisch, maar dienstbaar.

4. Gemakshalve gaan NBA en ACB niet in op mijn betoog over COSO. En met name niet op door accountants ondertekende SOx 404-verklaringen. Ondergetekende wees er op dat zowel het ING-bestuur als EY aftekenden op deze verklaringen, onder verwijzing naar COSO en de COSO-criteria. Omdat men in die verklaringen niet exact en duidelijk heeft aangegeven welke criteria daarbij werden uitgezonderd, mag de lezer van de verklaring ervan uitgaan dat het alle criteria betreft. Criteria die betrekking hebben op allerhande onderwerpen, maar zeker ook op compliance: het betreft immers een hoofdpijler onder het COSO-model.

En ook hier is het niet moeilijk om artikelen van de grote kantoren, hun medewerkers of (hun) hoogleraren te vinden waarin COSO wordt verbonden aan interne beheersing, toon aan de top en cultuur. Ik zal daar op verzoek van hoogleraar Arjan Bouwer (PwC) binnenkort nog op terugkomen. 

Kunnen NBA en ACB ook eerst nog eens op dit 'vergeten' aspect (COSO) reflecteren? Bijvoorbeeld door daarbij het perspectief van collega-hoogleraar Leen Paape te betrekken, namelijk dat de in control verklaring 'gebakken lucht' is? En als het om 'gebakken lucht' gaat: willen accountants zich daarmee afficheren en er geld aan verdienen? Welke (schijn)zekerheid verstrekken zij met dergelijke verklaringen?

Of nog beter, NBA en ACB: betrek hierbij de eigen Publieke Management Letter uit november 2013 'Risico’s managen is mensenwerk. Risicomanagement en -verslaggeving bij grote ondernemingen.' Heel nuttig en leerzaam. Zo worden er opmerkingen gemaakt over op welke risico's risicomanagement betrekking heeft: 'Risico's in de bedrijfsprocessen, financiële rapportages en de naleving van regelgeving.' De lezer begrijpt vast waarom ik het laatste puntje vet maak.

Ook leuk is signaal 5 in de publieke management letter: accountants hebben weinig oog voor risicomanagement. Terecht schrijven de auteurs en andere betrokkenen (onder meer van alle grote kantoren): "Het maatschappelijk verkeer verwacht van de accountant niet alleen een oordeel over de kwaliteit van de jaarrekening, maar ook over het jaarverslag. Waaronder de beschrijving van de kwaliteit van het risicomanagement. Gegeven die verwachting en gezien zijn signalerende rol doet de accountant er goed aan om meer aandacht te besteden aan het risicomanagement."

Do I need to say more?